Yurt dışına veri aktarılmadan önce uygun bir hukuki zeminin bulunup bulunmadığı dikkatle değerlendirilmelidir. Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) yurt dışına veri aktarımı sistematiğine göre ilk olarak, Kurul tarafından ilgili ülke, sektör veya uluslararası kuruluş hakkında verilmiş bir yeterlilik kararının olup olmadığına ilişkin bir tahlil yapılması önem arz etmektedir. Zira yeterlilik kararı mevcut ise ve Kanun’da belirtilen işleme şartlarının varlığı halinde, harici bir koşula ihtiyaç duyulmadan yurt dışına veri aktarımı gerçekleştirilebilecektir. Ne var ki Kurul henüz yeterli korumanın bulunduğu ülkelere ilişkin bir karar ilan etmediğinden, uygulamada bir sonraki aşama gündeme gelmekte, tarafların uygun güvence mekanizmalarından (örneğin Kurum tarafından yayımlanan standart sözleşmeler veya Kurul onaylı Bağlayıcı Şirket Kuralları) en az birini sağlaması gerekmektedir. Bu güvencelerin de sağlanamadığı durumlarda ise yalnızca Kanun’da sınırlı şekilde sayılan istisnai (arızi) hallerde veri aktarımı mümkün olabilmektedir. İlgili kişinin açık rızası, sözleşmenin ifası için zorunluluk veya üstün bir kamu yararının bulunması gibi haller bu kapsamdadır ve bu hallerde aktarım düzenli olmamak kaydıyla bir veya birden fazla kez gerçekleştirilebilmektedir.

Bununla birlikte, Kanun’un 9. maddesinin 9. ve 10. fıkralarında yurt dışına aktarıma ilişkin uluslararası sözleşme veya diğer kanunlarda bir hüküm bulunmakta ise kişisel verilerin söz konusu hükümler uyarınca yurt dışına aktarılabileceği hükmü yer almaktadır. Dolayısıyla uygun güvenceler, istisnai aktarım durumları veya yeterlilik kararı öncesinde, yurt dışına veri aktarımının ilk aşamasında usulüne göre yürürlüğe konulmuş uluslararası sözleşmenin ya da diğer kanunlarda bir hüküm bulunup bulunmadığının değerlendirilmesi önem arz etmektedir.

Uygun güvence temininde uygulamada en çok tercih edilen yöntem, taahhütnamelerin Kurul onayına tabi olması ve buna ilişkin sürecin uzunluğu göz önüne alındığında, standart sözleşmelerdir. Standart sözleşmelerin imzalanmasını takiben beş iş günü içerisinde Kişisel Verileri Koruma Kurumu’na (“Kurum”) bildirilmesi zorunludur. Kişisel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik (“Yönetmelik”) uyarınca sözleşme bildirimlerinin fiziki olarak veya kayıtlı elektronik posta (KEP) ile yapılabileceği düzenlenmiş; bununla birlikte Kurul’un ek yöntemler belirleme yetkisine sahip olduğu da ifade edilmiştir. Kurul, işbu yetkisini kullanarak veri sorumlusu ve veri işleyenlerin bildirim yükümlülüklerini daha hızlı ve etkin şekilde yerine getirebilmeleri için bir “Standart Sözleşme Bildirim Modülü” hazırlamıştır. Ayrıca, standart sözleşme metinleri, Bağlayıcı Şirket Kuralları başvuru formları ve bağlayıcı şirket kurallarında bulunması gereken temel hususlara ilişkin yardımcı kılavuzlar Kurum’un internet sitesinde yayımlanmıştır. Hangi yöntem tercih edilirse edilsin başvuruların eksiksiz, açık ve kapsamlı bilgi içermesi gerekmektedir.

Son olarak, arızi hallerde veri aktarımının süreklilik arz etmeyen ve olağan iş akışı dışındaki durumlarla sınırlı olduğu unutulmamalıdır. Nitekim Kurul tarafından yayımlanan Kişisel Verilerin Yurt Dışına Aktarılması Rehberinde de düzenli, sistematik ve öngörülebilir veri aktarımlarının arızi aktarım kapsamına girmeyeceği vurgulanmakta, konuya ilişkin açıklayıcı örneklere yer verilmektedir. Veri sorumluları, arızi aktarım istisnasına yalnızca zorunlu durumlarda başvurmalı; sürekli veya rutin veri aktarımı gerektiren süreçlerde standart sözleşme veya taahhütname gibi uygun güvenceleri temin etmelidir.